Quelles sont les bonnes pratiques en matière de gestion de coupe-feu?

Voici quelles sont les meilleures pratiques en matière de gestion de changement des coupe-feu. 

1. Avoir un formulaire simple

Ce sont les utilisateurs, développeur, etc., qui doivent ouvrir des ports d'accès, des sites web et obtenir d'autres permissions de communication d'un réseau vers un autre. Ils doivent donc être en mesure d'écrire leurs demandes et leurs besoins d'une manière simple, rapide et efficace. La meilleure manière reste un formulaire web ayant un numéro de demande.

2. Revoir les formulaires par une personne technique afin de convertir les termes vague et imprécis en termes techniques et spécifiques aux besoins de l'utilisateur

Le personnel technique doit revoir les demandes afin de clarifier tous les points et d'être bien certain des besoins du demandeur. Celui-ci a peut-être une méthode alternative de communication, telle qu'utiliser SCP au lieu de FTP ou d'un partage réseau SMB, qui lui permet de réaliser son travail sans avoir à ouvrir de nouveau port dans le coupe-feu.

3. Valider que les changements ont besoin d'être faits.

Certaines demandes ne méritent pas un changement dans le coupe-feu. Par exemple, dans le cas d'une personne qui souhaite avoir accès à un site FTP pour télécharger un fichier alors que celui-ci est disponible sur le site web dont le client à besoin. Cette étape correspond aussi à celle où l'équipe technique valide la pertinence et réévalue le besoin exprimé par l'utilisateur.

4. Apprécier le risque des changements

Une fois le besoin clairement identifié, l'équipe technique doit réfléchir aux risques associés à l'ouverture de ce port de communication. Dans certains cas, l'équipe technique doit refuser certaines demandes et proposer des méthodes alternatives aux besoins exprimés par le demandeur. Les changements demandés ne doivent pas apporter des risques inacceptables pour l'entreprise.

5. Vérifier que la politique de l'entreprise n'est pas compromise par ce changement

La politique de sécurité corporative doit décrire ce qui doit être protégé et contre quel type de menace. L'équipe technique devrait se référer à la politique afin de valider que la demande de changement n’aille pas à l'encontre d'une politique d'entreprise. Exemple: Ouvrir un accès distant de puis la maison, alors qu'il est interdit de faire du télé-travail dans l'entreprise.

6. Obtenir l'approbation du propriétaire de l'information ou du système touché par ce changement

Ultimement, le propriétaire de l'information est responsable des mesures de sécurité et des permissions qui touchent son information. Il doit donc donner son accord aux demandes de changements qui touchent ses systèmes.

7. Le coupe-feu a-t-il besoin d'une nouvelle règle ou pouvons-nous modifier une règle existante?

Il ne faut pas continuellement ajouter des règles à un coupe-feu. Dans certains cas, une règle existe déjà et il ne suffit que de la modifier un peu pour permettre le changement demandé.

8. Choisir le bon emplacement dans la base de règle du coupe-feu

Le choix de l'emplacement dans certains coupe-feu est essentiel, l'équipe technique doit donc choisir et valider le bon endroit

9. Valider que la mise en place fonctionne et n'engendre pas de nouvelle vulnérabilité

Il est recommandé de faire un test de sécurité après chaque changement pour valider que tout changement n'apporte pas son lot de nouvelles vulnérabilités. Ce test sert également d'assurance qualité pour l'équipe technique, il permet de valider que le changement a bien eût lieu, et qu'aucune autre règle n'a été impactée.

10. Documenter les changements faits au coupe-feu

L'étape la plus importante consiste à documenter les changements effectués. L'endroit le plus propice pour trouver l'information reste dans le formulaire du demandeur. Celle-ci doit être regroupé vers une base de données de gestion des changements. Il est recommandé d'avoir un commentaire directement dans le coupe-feu qui permet de connaitre la source de chaque règle.

11. Rattacher le changement du coupe-feu au formulaire reçu du client.

Afin de faire le cercle complet d'une demande, la documentation doit comprendre les éléments suivants :

A) Le formulaire du demandeur avec un numéro unique

B) Le numéro de la règle dans le coupe-feu.

C) Le rationnel du travail de l'équipe technique (Évaluation des risques, approbation et commentaires)

12. Informer l'utilisateur que les changements ont été faits.

Finalement, il importe de rapidement communiquer au client que sa demande a été traitée et qu'elle est en place à partir d'un moment précis. S'il a des commentaires ou questions, référer le client à un numéro unique afin de faire le suivi pour l'équipe technique.

Concours de piratage SYN/HACK

Avis aux intéressés: GV (www.gardienvirtuel.ca) cherche a commanditer une équipe au concours SYN/HACK (http://www.colloque-rsi.com/programmation/competition-synhack/) Envoyez-nous un email à info@gardienvirtuel.ca! Contrairement au Hackfest et au Hackus, nous ne pouvons pas participer nous-mêmes au SYN/HACK puisque nous organisons les épreuves techniques!

Différence entre la sécurité informatique et informationnelle.

Bonjour,

Je suis très heureux de vous dire bonjour et bienvenu à cette nouvelle chronique de sécurité de l'information. Je vais tenter de vulgariser et d'expliquer les différents concepts avec lesquels nos experts travail à tous les jours.

Une des premières questions à éclaircir et que nous avons reçu, via notre site web, est quel est la différence entre sécurité informatique et sécurité de l'information. Puis en quoi tout cela consiste?

Premièrement, la différence entre sécurité informatique et sécurité de l'information n'est pas très grande. Le terme sécurité informatique est beaucoup plus connu et utilisé par les gens liée aux métier informatique. Par contre le terme plus moderne reste la sécurité de l'information, puisque les gens ne souhaitent pas protéger le matériel informatique mais bien l'information que celui-ci contient peu importe sa forme.

Finalement, lorsque l'ont dit assurer la sécurité on doit penser aux trois pilier associé, soit la confidentialité, l'intégrité et la disponibilité de l'information. Le travail d'une personne en sécurité consiste à protéger ces trois valeurs contre les différentes menaces qui pourraient peser contre elles. L'importance à accordé à ces valeurs varies en fonction des entreprises et de leur missions, par exemple votre rapport d’impôt ou dossier médicale ne doit être lu que par les personnes autorisé et non par vos voisins ou collègues. Par contre pour les services d'urgence 911, la disponibilités ou le fonctionnement du système téléphonique prime avant tout, Il y a risque de perte de vie humaine s'il y a une panne de quelques minutes.